Постигане на съответствие с NIST в облака: стратегии и съображения
Навигирането във виртуалния лабиринт на съответствието в цифровото пространство е истинско предизвикателство, пред което са изправени съвременните организации, особено по отношение на Рамка за киберсигурност на Националния институт за стандарти и технологии (NIST)..
Това уводно ръководство ще ви помогне да разберете по-добре NIST Кибер защита Рамка и как да се постигне съответствие с NIST в облака. Хайде да скочим.
Какво представлява рамката за киберсигурност на NIST?
Рамката за киберсигурност на NIST предоставя схема на организациите за разработване и подобряване на техните програми за управление на риска за киберсигурността. Той е предназначен да бъде гъвкав, състоящ се от голямо разнообразие от приложения и подходи за отчитане на уникалните нужди на всяка организация за киберсигурност.
Рамката се състои от три части – ядрото, нивата на внедряване и профилите. Ето преглед на всеки:
Ядро на рамката
Ядрото на рамката включва пет основни функции за осигуряване на ефективна структура за управление на рисковете за киберсигурността:
- Идентифицирайте: Включва разработване и налагане на a политика за киберсигурност който очертава риска за киберсигурността на организацията, стратегиите за предотвратяване и управление на кибератаки и ролите и отговорностите на лицата с достъп до чувствителните данни на организацията.
- Защитете: Включва разработване и редовно прилагане на цялостен план за защита за намаляване на риска от атаки срещу киберсигурността. Това често включва обучение по киберсигурност, строг контрол на достъпа, криптиране, изпитване на проникване, и актуализиране на софтуера.
- Откриване: Включва разработване и редовно прилагане на подходящи дейности за разпознаване на атака срещу киберсигурността възможно най-бързо.
- Отговорете: Включва разработването на цялостен план, очертаващ стъпките, които трябва да се предприемат в случай на атака срещу киберсигурността.
- Възстановяване: Включва разработване и прилагане на подходящи дейности за възстановяване на това, което е било засегнато от инцидента, подобряване на практиките за сигурност и продължаване на защитата срещу атаки срещу киберсигурността.
В рамките на тези функции има категории, които уточняват дейности за киберсигурност, подкатегории, които разбиват дейностите на точни резултати, и информативни препратки, които предоставят практически примери за всяка подкатегория.
Нива на изпълнение на рамката
Нивата на изпълнение на рамката показват как дадена организация разглежда и управлява рисковете за киберсигурността. Има четири нива:
- Ниво 1: Частично: Слаба осведоменост и прилага управление на риска за киберсигурността за всеки отделен случай.
- Ниво 2: Информирани за риска: Съществуват практики за осъзнаване на риска и управлението на киберсигурността, но не са стандартизирани.
- Ниво 3: Повтарящо се: Официални политики за управление на риска в цялата компания и редовно ги актуализира въз основа на промените в бизнес изискванията и ландшафта на заплахите.
- Ниво 4: Адаптивно: Проактивно открива и прогнозира заплахи и подобрява практиките за киберсигурност въз основа на минали и настоящи дейности на организацията и развиващи се заплахи, технологии и практики за киберсигурност.
Рамков профил
Профилът на рамката очертава съответствието на основната рамка на организацията с нейните бизнес цели, толерантност към риск за киберсигурността и ресурси. Профилите могат да се използват за описание на текущото и целевото състояние на управление на киберсигурността.
Текущият профил илюстрира как една организация в момента се справя с рисковете за киберсигурността, докато целевият профил описва резултатите, от които организацията се нуждае, за да постигне целите за управление на риска за киберсигурността.
Съответствие с NIST в облака срещу локални системи
Въпреки че рамката за киберсигурност на NIST може да се приложи към всички технологии, изчислителни облаци е уникален. Нека проучим няколко причини, поради които съответствието с NIST в облака се различава от традиционната локална инфраструктура:
Отговорност за сигурността
При традиционните локални системи потребителят е отговорен за цялата сигурност. При облачните изчисления отговорностите за сигурността се споделят между доставчика на облачни услуги (CSP) и потребителя.
И така, докато CSP е отговорен за сигурността „на“ облака (напр. физически сървъри, инфраструктура), потребителят е отговорен за сигурността „в“ облака (напр. данни, приложения, управление на достъпа).
Това променя структурата на NIST Framework, тъй като изисква план, който взема предвид и двете страни и доверие в управлението и системата за сигурност на CSP и способността му да поддържа съответствие с NIST.
Местоположение на данни
В традиционните локални системи организацията има пълен контрол върху това къде се съхраняват нейните данни. Обратно, данните в облака могат да се съхраняват на различни места в световен мащаб, което води до различни изисквания за съответствие въз основа на местните закони и разпоредби. Организациите трябва да вземат това предвид, когато поддържат съответствие с NIST в облака.
Мащабируемост и еластичност
Облачните среди са проектирани да бъдат силно мащабируеми и еластични. Динамичният характер на облака означава, че контролите и политиките за сигурност също трябва да бъдат гъвкави и автоматизирани, което прави съответствието с NIST в облака по-сложна задача.
Многонаемност
В облака CSP може да съхранява данни от множество организации (multitenancy) в един и същ сървър. Въпреки че това е обичайна практика за публични облачни сървъри, тя въвежда допълнителни рискове и сложности за поддържане на сигурността и съответствието.
Модели на облачни услуги
Разделението на отговорностите за сигурност се променя в зависимост от вида на използвания модел на облачна услуга – инфраструктура като услуга (IaaS), платформа като услуга (PaaS) или софтуер като услуга (SaaS). Това засяга начина, по който организацията прилага Рамката.
Стратегии за постигане на съответствие с NIST в облака
Като се има предвид уникалността на облачните изчисления, организациите трябва да прилагат специфични мерки за постигане на съответствие с NIST. Ето списък със стратегии, които да помогнат на вашата организация да достигне и поддържа съответствие с NIST Cybersecurity Framework:
1. Разберете своята отговорност
Правете разлика между отговорностите на CSP и вашите собствени. Обикновено CSP се грижат за сигурността на облачната инфраструктура, докато вие управлявате вашите данни, потребителски достъп и приложения.
2. Провеждайте редовни оценки на сигурността
Периодично оценявайте сигурността на вашия облак, за да идентифицирате потенциала уязвимости. Използвайте инструментите предоставени от вашия CSP и помислете за одит от трета страна за безпристрастна гледна точка.
3. Защитете вашите данни
Използвайте силни протоколи за криптиране за данни в покой и в транзит. Правилното управление на ключовете е от съществено значение за избягване на неоторизиран достъп. Вие също трябва настройте VPN и защитни стени за повишаване на защитата на вашата мрежа.
4. Внедряване на надеждни протоколи за управление на самоличността и достъпа (IAM).
IAM системите, като многофакторното удостоверяване (MFA), ви позволяват да предоставите достъп на базата на необходимост да знаете и предотвратяване на неоторизирани потребители от влизане във вашия софтуер и устройства.
5. Непрекъснато наблюдавайте риска за киберсигурността
Leverage Системи за информация за сигурността и управление на събития (SIEM). и системи за откриване на проникване (IDS) за текущо наблюдение. Тези инструменти ви позволяват да реагирате незабавно на всякакви сигнали или нарушения.
6. Разработване на план за реакция при инцидент
Разработете добре дефиниран план за реакция при инцидент и се уверете, че вашият екип е запознат с процеса. Редовно преглеждайте и тествайте плана, за да се уверите в неговата ефективност.
7. Провеждайте редовни одити и прегледи
Поведение редовни проверки на сигурността спрямо стандартите на NIST и съответно коригирайте своите политики и процедури. Това ще гарантира, че вашите мерки за сигурност са актуални и ефективни.
8. Обучете персонала си
Оборудвайте екипа си с необходимите знания и умения относно най-добрите практики за сигурност в облака и важността на съответствието с NIST.
9. Сътрудничете редовно с вашия CSP
Редовно се свързвайте с вашия CSP относно техните практики за сигурност и обмислете всички допълнителни предложения за сигурност, които може да имат.
10. Документирайте всички записи за сигурност в облака
Поддържайте щателни записи на всички политики, процеси и процедури, свързани със сигурността в облака. Това може да помогне при демонстриране на съответствие с NIST по време на одити.
Използване на HailBytes за съответствие с NIST в облака
Докато придържайки се към рамката за киберсигурност на NIST е отличен начин за защита и управление на рисковете за киберсигурността, постигането на съответствие с NIST в облака може да бъде сложно. За щастие, не е нужно да се справяте сами със сложността на облачната киберсигурност и съответствието с NIST.
Като специалисти по облачна инфраструктура за сигурност, HailBytes е тук, за да помогне на вашата организация да постигне и поддържа съответствие с NIST. Ние предоставяме инструменти, услуги и обучение за укрепване на вашата киберсигурност.
Нашата цел е да направим софтуера за сигурност с отворен код лесен за настройка и труден за проникване. HailBytes предлага набор от продукти за киберсигурност на AWS за да помогнете на вашата организация да подобри сигурността си в облака. Ние също така предоставяме безплатни образователни ресурси за киберсигурност, за да помогнем на вас и вашия екип да култивирате силно разбиране на инфраструктурата за сигурност и управлението на риска.
автор
Зак Нортън е специалист по дигитален маркетинг и експертен писател в Pentest-Tools.com, с няколко години опит в киберсигурността, писането и създаването на съдържание.
